Cybersicherheit für Stiftungen: Schwachstellen systematisch beheben

Stiftungsrecht

Die Bandbreite an Maßnahmen gegen Cyberangriffe wächst mit der Bedrohung mit. Wichtig ist die genaue Abstimmung von Maßnahmen auf identifizierte Probleme. Wie Stiftungen sich schützen können.

In diesem Beitrag lesen Sie, mit welchen konkreten Maßnahmen sich Stiftungen vor Cyberangriffen schützen können. Mehr über das breite Spektrum an Bedrohungsszenarien erfahren Sie in diesem Beitrag.

Die Bandbreite an Maßnahmen gegen Cyberangriffe wächst mit der Bedrohung mit. Wichtig ist die genaue Abstimmung von Maßnahmen auf identifizierte Probleme. Dazu einige Beispiele:

  1. Grundlegende Sicherheitsmaßnahmen etablieren: Etablieren Sie ein Informationssicherheits-Managementsystem (ISMS). Am Anfang muss kein Maximalstandard stehen. Beginnen Sie damit, Verantwortlichkeiten zu vergeben und sich mit Ihrem spezifischen Risiko strukturiert auseinanderzusetzen.
  2. Bewusstsein für digitale Bedrohungen schaffen: Schulungen und Awareness-Maßnahmen beugen einer unbeabsichtigten Mithilfe durch falsches Verhalten vor. Ebenfalls sollten diese ein Bewusstsein schaffen, dass Non-Profit-Organisationen interessante Angriffsziele sind und dass das Thema Reputationsverlust einen besonderen Stellenwert innehat. Mitarbeiter, die die Bedrohungen kennen, können diese im Ernstfall erkennen und melden.
  3. Notwendiges Wissen und ausreichende Ressourcen sicherstellen, um ein angemessenes Schutzniveau zu erreichen: Investieren Sie in das Know-how Ihrer Mitarbeiter. Ziehen Sie zudem externe Experten zu Rate oder lagern Sie gezielt Aktivitäten aus bzw. verstärken Sie diese durch externe (abrufbare) Ressourcen.
  4. Adäquat und zügig auf einen Cyber-Angriff reagieren: Definieren Sie im Unternehmen einen sogenannten Cyber Incident Response-Prozess, in dem relevante Rollen, Verantwortlichkeiten und Prozessschritte festgelegt werden. Schaffen Sie Schnittstellen zu IT-Forensikern, die Sie technisch und organisatorisch bei der Aufarbeitung des Falls unterstützen, Angreifer zurückdrängen, Schutzbarrieren aufbauen und den normalen Betriebszustand wiederherstellen.
  5. Das Vorgehen professioneller Gruppen kennen und Vorbereitungen treffen: Informieren Sie sich über die Werkzeuge und das Vorgehen professioneller Angreifergruppen. Prüfen Sie, ob Ihr Sicherheitsniveau auch diese Tätergruppe abdeckt.
  6. Kritische Sicherheits-Updates installiert: Beziehen Sie Informationen zu (kritischen) Sicherheitslücken und sorgen Sie für zeitnahe Updates.
  7. Sicherheitslücken bei Eigenentwicklungen beheben: Schulen Sie Ihre Mitarbeiter in sicherer Softwareentwicklung und stellen Sie entsprechende Vorgaben auf. Lassen Sie Eigenentwicklungen auf Sicherheitsprobleme überprüfen (Penetrationstest).

Auseinandersetzung mit internen Tätern

Durch Spionage, Sabotage und Korruption von Mitarbeitern kann einer gemeinnützigen Organisation großer Schaden entstehen. Lückenhafte oder fehlerhafte interne Prozesse erleichtern oder ermöglichen häufig erst organisationsschädigendes Handeln.

Folgende Maßnahmen sind beispielsweise je nach festgestelltem Problem empfehlenswert:

  1. Vier-Augen-Prinzip etablieren: Implementieren Sie Funktionstrennungen und Sicherheitsmaßnahmen wie ein technisch erzwungenes Vier-Augen-Prinzip bei kritischen Aktivitäten.
  2. Das Benutzerverhalten wird ausreichend protokollieren: Im schlimmsten Fall ist nach einem Vorfall eine Untersuchung des Hergangs nur eingeschränkt möglich, da die Systeme keine technischen Protokolle vorhalten. Sorgen Sie für geeignete, möglichst fälschungsresistente Aufzeichnungen. Achten Sie bei der Ausgestaltung der Aufzeichnungen auf datenschutzrechtliche Vorgaben.
  3. Awareness schaffen: Das Sicherheitsbewusstsein der Mitarbeiter sollte durch kontinuierliche Schulungen gestärkt werden.
  4. Nach Verlassen des Unternehmens Zugriff auf Unternehmens-IT verhindern: Manchmal kann es vorkommen, dass Mitarbeiter und Unternehmen nicht im Gütlichen auseinandergehen. Sind Ihre Prozesse diesbezüglich auch auf Sicherheit ausgelegt?

Schnelle Information über Cyberschutz durch Sicherheitsüberprüfung

Eine Sicherheitsüberprüfung veranschaulicht Ihnen schnell und systematisch, wie es im Detail um die Cybersicherheit Ihrer Organisation bestellt ist und in welchen Bereichen Sie handeln sollten. Dabei sollten folgenden Fragen beantwortet werden:

  • Was sind meine schützenswerten Informationen und IT-Systeme?
  • Wie effektiv sind meine bisher etablierten technischen und organisatorischen Sicherheitsmaßnahmen?
  • In welchen Bereichen kann und sollte ich mich verbessern?

Die Bewertung der Maßnahmen sollte anhand eines Reifegradmaßstabs (Benchmark) erfolgen, wobei dieser Maßstab für jede Organisation individuell festgelegt wird. Die Auswertung sollte dazu Maßnahmen für einen Muss-, Soll- und Kannzustand differenzieren – insbesondere anhand der Eigenschaften der Organisation, wie Organisationsgröße, Organisationskultur und Risikoexposition.

Eine Analyse sollte daher alle relevanten Bereiche mit folgenden Themenfeldern abdecken:

Cybersicherheitsmanagement:

  • Ziele
  • Rollen und Zuständigkeiten
  • Ressourcen
  • Risikomanagement
  • Überprüfung und Verbesserungen
  • Dokumentenmanagement
  • Aufzeichnungs- und Nachweismanagement

Organisatorisches

  • Sicherheit in Personalprozessen
  • Umgang mit Drittparteien
  • Kennzeichnung von und Umgang mit Informationen
  • Cyber Security Incident Management
  • Business Continuity Management
  • Compliance

Technisches

  • Physische Sicherheit
  • IT-System- und Anwendungssicherheit
  • Netzwerksicherheit
  • Überwachung und Protokollierung
  • Schwachstellenmanagement
  • Verschlüsselung
  • Mobile Computing
  • Changemanagement
  • Identitäts- und Zugangskontrolle
  • Anschaffung, Entwicklung und Wartung von Systemen
  • IT-forensische Analyse

Autor:

Peter Kestner, Partner, Cyber Security, KPMG AG Wirtschaftsprüfungsgesellschaft

KPMG ist Premiumpartner des Bundesverbandes Deutscher Stiftungen. 

Sind Sie cybersicher?

Dieser Beitrag ist ein Auszug aus der KPMG-Broschüre "Sind Sie cybersicher? - Was Non-Profit-Organisationen tun können, um sich gegen Cyberangriffe zu schützen." 

Jetzt herunterladen

Aktuelle Beiträge
Unsere Demokratie

„Wir haben uns etwas sagen zu lassen“

Als im Mai dieses Jahres der Afroamerikaner George Floyd von einem Polizisten getötet wurde, erklärte sich das Stadtmuseum Berlin als eine von wenigen Stiftungen in Deutschland offen solidarisch mit der weltweit aufkommenden #BlackLivesMatter-Bewegung. Im Gespräch erklären Direktor Paul Spies und Diversitäts-Agentin Idil Efe, wie sie ihr eigenes Haus bunter machen wollen.

Mehr
Globales Engagement

Gemeinsam stärker in Europa und weltweit

Immer mehr Stiftungen denken globaler, tauschen grenzübergreifend Wissen aus, kooperieren bi- oder multinational.

Mehr
Geschlechtergerechtigkeit

Die Kraft der Frauen

Auch zum 100. Jubiläum des internationalen Frauentages gibt es in Sachen Gleichberechtigung noch viel zu tun. Nur langsam ändern sich Jahrhunderte alte Gesellschaftsstrukturen von Machtverteilung und Diskriminierung. Wie es gehen kann, zeigt die erfolgreiche Arbeit der Vicente Ferrer Stiftung zur Stärkung der Frauen im ländlichen Indien.

Mehr

Mehr zum Thema

Stiftungsrecht

Lobbyregister beschlossen: Das müssen Stiftungen nun wissen

Der Bundestag hat im März das Gesetz zur Einführung eines Lobbyregistersverabschiedet. Damit wird ein neuer Regelungsrahmen für das Miteinander von Politik, Wirtschaft und Zivilgesellschaft geschaffen. Ziel ist es, eine öffentlich zugängliche Transparenz in Bezug auf Kontakte zu Bundesregierung und Bundesministerien herzustellen. 

Mehr
Pressemitteilungen

Bundesverband begrüßt Regierungsentwurf zur Stiftungsrechtsreform - und fordert nötige Nachbesserungen

Die dringend notwendige Reform des deutschen Stiftungsrechts rückt näher: Der Regierungsentwurf für das neue Gesetz hat gestern das Kabinett passiert. Der Bundesverband begrüßt die deutlichen Verbesserungen im Vergleich zum Referentenentwurf, fordert aber gleichzeitig nötige Nachbesserungen.

Mehr
Stiftungsrecht

Transparenzregister: Offener Brief mahnt zu weniger Bürokratie

Mit einem offenen Brief an Bundesfinanzminister Scholz reagiert das Bündnis für Gemeinnützigkeit zusammen mit weiteren Unterzeichnenden auf die bürokratischen Hürden im Zusammenhang mit dem Transparenzregister. Zentrale Forderungen sind hierbei, doppelte Meldepflichten zu verhindern und eine automatische Gebührenbefreiung zu erreichen.

Mehr